数据存储安全是客户整个安全计划的一部分，也是数据中心安全和组织安全的一部分。如果只小心翼翼地保护存储的安全而将整个系统向互联网开放，那这样的存储安全是丝毫没有意义的。应该认识到，安全计划可能需要满足各种数据库和应用的不同层次的安全需求原则上，存储安全是非常简单直接的。

在过去十年中，存储已演变为多个系统共享的一种资源。非常多案例都表明，只保护存储设备所在的系统的安全已不能满足需要了。存储设备目前连接到非常多系统上，因此，必须保护各个系统上的有价值的数据，防止其他系统未经授权访问数据，或破坏数据。相应的，存储设备必须要防止未被授权的设置改动，对所有的更改都要做审计跟踪。

在线存储――磁盘存储――被指定为不同的部分。每个部分属于一个特别的系统或用户。如果这个部分被访问，存储系统会查看访问请求发回的地址，如果这个地址不是所有者的，那么就拒绝请求。

在实践中，建立存储安全需求专业的知识，留意细节，不断检查，确保存储解决方案继续满足业务不断改动的需要。必须减少诸如伪造回复地址这样的威胁。最重要的是，安全的本质是三方面达到平衡，即采取安全措施的成本，安全缺口带来的影响，入侵者要突破安全措施所需要的资源。

保护机密的数据;

确保数据的完整性;

防止数据被破坏或丢失。

一旦发生数据丢失或被破坏，后果可想而知。敏感的业务数据或客户资料将被泄露，业务记录将被篡改或毁坏。所有最糟糕的情形都有可能发生。

数据的存储已经成为了人们日常生活与工作中必须要做的一项任务。随着人们对数据的依赖程度越来越严重，逐渐的开始对数据存储安全重视起来。当前，很多企业面临的挑战是如何找到安全与支出之间的平衡，当整个企业都在努力降低成本的时候，IT管理员要如何说服公司投资安全工具呢?人为错误通常是企业存储环境面临的最重要的存储安全错误，随着2009年网络犯罪和身份盗窃的不断增加，企业需要更加警惕防御抵制因为人为因素而导致的钓鱼攻击和社会工程攻击。

企业不能忽视安全问题，即使预算紧张，安全泄漏、数据丢失和停机时间造成的总成本损失都远远超过企业需要花在保护数据和网络上的钱。如果企业安全成为经济危机时期的另一个受害者，那么短期收益将可能造成长期损失。

1. 确定问题所在

对所有部署的安全措施和设备进行广泛的审计—所有的硬件、软件和其他设备，并审核授予企业内员工的所有特权和文件权限。积极测试存储环境的安全性并检查网络和存储安全控制的日志，如防火墙、IDS和访问日志等，来了解所有可能的安全事件，事件日志是很重要的安全信息资源，但是常常被忽视。

2. 监测活动

全年全天候对用户的行为进行检测，对于单个管理员，检测事件日志并定期进行审计是一项艰巨的任务。但是，检测存储环境比检测整个网络要更加现实。日志被认为是很重要的资源，因为如果安全泄漏发生的时候，日志可以用于随后展开的调查。日志分析能够帮助管理员更好地了解资源使用的方式并能够更好的管理资源。

3.访问控制

对数据的访问权限只能授予那些需要访问数据的人。

4. 维护信息

保护所有企业信息。使用不受控制的移动存储设备，如闪存驱动和DVD等，让大量数据处于威胁之中，这些设备很容易丢失，并且很容易被盗窃。在很多情况下，位于移动存储设备的数据经常没有使用加密技术来保护。

5. 需要知道和需要使用

制定技术政策，根据明确的政策来使用设备。最近的研究表明，当人们被炒鱿鱼的时候，这些人泄漏数据的比率不断增加。移动设备(如USB棒或者 PDA)可以容纳大量数据，检测网络中这些设备的使用是降低数据泄漏风险或者是不满员工的恶意行为的关键因素。但仅限于真正需要使用移动设备的人使用移动设备。

6. 数据处理政策

实施严格的安全政策，包括数据是如何处理的、如何访问和转移等。单靠技术本身是不足以保护公司数据的。强有力的可执行的安全政策，以及员工和管理层对安全问题的认知，将能够提高企业内的存储安全水平。

7. 简单的员工沟通

用简单明确的语言向员工解释每一种政策的含义，和政策部署的方式。

8. 员工教育

员工需要注意，不应该将自己的密码写在粘贴在监视器的记事贴上，他们需要了解共享密码就像共享自己家里的要是一样。需要告诉员工不能在未经认证的情况下，将任何信息透露给第三方，他们需要对安全和最常见的威胁(如电子邮件钓鱼和社会工程)有基本的了解。另外，他们需要注意其行为正在被监视。

9. 备份所有的东西

备份所有通信和数据，定期检查备份以确保公司的网络崩溃的时候，能够在短时间内获取所有信息，你当然不希望备份遭到破坏。

10. 人员管理

存储安全比使用各种安全技术保护数据更加重要，这也是训练人事管理的机会。使用和创建数据的人是最大的安全威胁和最薄弱的安全环节。

我们说，安全向来都是相对的，没有绝对的安全，存储安全也一样。随着存储安全新隐患、新情况的不断涌现，任何一种存储安全产品都不可能保障100%存储安全。既然不存在100%的存储安全，那么在发生存储安全事故时，如何在第一时间、将负面影响降至最低点，最大限度的减少各种损失，就成了存储安全最后的王牌，也就是我们常说的数据恢复。存储安全保障的最终目标是保障数据信息的完整、不受损坏、不被窃取。而没有数据恢复，存储安全不过是一张无法兑现的口头支票。从欧美信息化发展程度较高国家近几年的研发方向来看，未来存储安全的核心是以数据恢复为主，兼顾数据备份、数据擦除。

2010年，在即将跨入“十二五”的时刻，“中国信息产业经济年会”进入第十个年头。十年来，中国电子信息产业进入了改革开放以来的空前繁荣期，特别是在信息安全领域，这几年在国家发改委，工信部和科技部的大力支持下，不少国内知名研发机构逐渐走上国家尖端的行列。